AIスロップがバグバウンティプログラムを氾濫させる、企業は偽の報告に苦慮している

要約

* バグバウンティプログラムを運営する企業は、低品質のAI生成提出物の急増を報告している。
* HackerOneとNextcloudは、偽の報告の波の後にバグバウンティプログラムを停止した。
* セキュリティ企業は、AIツールが大量にレポートを提出しやすくすることでバグハンティングを変えていると述べている。

人工知能は、ソフトウェアの脆弱性を発見するためにバグバウンティプログラムに依存している企業にとって新たな頭痛の種を生み出している。
サイバーセキュリティ企業やオープンソースソフトウェアプロジェクトは、多くの偽または誤解を招くAI生成のバグレポートの急増に対処している。これは Financial Times の報告によるもので、低品質の提出物の増加が一部の組織にバグバウンティプログラムを一時停止させる原因となっており、セキュリティチームは本物の脆弱性とスパムを区別するのにより多くの時間を費やしている。
バグバウンティも大きなビジネスとなっており、Meta、Microsoft、Apple、Crypto.comなどの企業は、ハッカーよりも先にソフトウェアの欠陥を見つけた研究者に対して、2025年に少なくとも5800万ドルを支払った。

しかし、生成AIツールはまた、大量の不正確または低品質の脆弱性レポートを大量に生成することで、バグバウンティプログラムの悪用を容易にしている。

サンフランシスコを拠点とするBugcrowdによると、3月の3週間で同プラットフォームを通じて提出されたレポートは4倍以上に増加した。同社のクライアントにはChatGPTの開発者であるOpenAIも含まれており、同社はほとんどのレポートが偽物だと述べている。
AI生成レポートの洪水のため、一部の企業はすでに公開バウンティプログラムを縮小し始めている。

「バグバウンティは[but]残るだろうが、変わらざるを得ないだろう」と、サイバーセキュリティ企業Sophosの最高情報セキュリティ責任者ロス・マッカーシャーは Financial Times に語った。
4月に、サイバーセキュリティプラットフォームのHackerOneとホスティングプラットフォームのNextcloudはともに有料バウンティプログラムを停止し、Nextcloudは「いかなる提出物に対しても金銭的報酬は与えられない」と付け加えた。
「ご存知の通り、これは業界全体の課題であり、他の企業と同様に、私たちは大量の低品質レポートを責任を持って処理する方法を見つけられずにいる」とNextcloudは書いている。「低労力のレポートをフィルタリングする信頼できる方法が見つかれば、プログラムを再開できることを願っている。」
このバグバウンティのニュースは、AIモデルが脆弱性を見つける能力をますます向上させている中でのことだ。3月にAnthropicは、同社が人間よりも早く脆弱性を特定できると述べるサイバー向けAIモデルのMythosを発表した。同社は現在、モデルを秘密にしており、テックジャイアント、セキュリティ企業、政府などにのみアクセスを許可している。
4月に、Claude MythosはMozilla Firefoxの内部テスト中に271の脆弱性を特定し、今月初めにはセキュリティ研究者たちが、同モデルのプレビュー版がAppleのM5チップをターゲットにしたエクスプロイトの開発に役立ったと述べた。
Myriad（_Decrypt_の親会社Dastanが運営する予測市場プラットフォーム）のユーザーは、Claude Mythosが6月末までに公開されるとは考えておらず、現在はわずか18％の確率を見込んでいる。